二／三層交換機(jī)原理

2023/2/2二／三層交換機(jī)原理(VLAN,VLANIF,Trunk,

VRRP)Page2TCP/IP與OSI七層模型應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層HTTPFTPTELNETOSPFISISRIPTCPUDPSCTPIPETHPPPFRX25ATM物理介質(zhì)ICMPARP/RARP鏈路層封裝網(wǎng)絡(luò)層封裝傳輸層封裝凈荷。。。報(bào)文：Contents交換機(jī)原理HUB與Switch的區(qū)別VLAN＆VLANIF介紹ARP&GratuitousARP幾個(gè)常見問題解答VRRPPage4哦，這封信是給地瓜的。土豆，土豆信已收到不是給我的，丟棄不是給我的，丟棄是我的信，收下HUB傳統(tǒng)HUB的工作過程Page5哦，這封信是給地瓜的。收到，發(fā)一個(gè)回執(zhí)哦，4口連的設(shè)備叫地瓜，OK，送4口!送信人叫土豆，而1口連的設(shè)備叫土豆，OK，轉(zhuǎn)1口！這兩人都不叫地瓜，都不會(huì)收到信傳統(tǒng)Switch的已知地址報(bào)文轉(zhuǎn)發(fā)過程Page6哦，這封信是給地瓜的。土豆，土豆地瓜在這里哦，不知道地瓜在哪里，發(fā)尋人啟事找我的人叫土豆，而1口連的設(shè)備叫土豆，OK，轉(zhuǎn)1口！不是找我的，丟棄不是找我的，丟棄傳統(tǒng)Switch的地址未知報(bào)文廣播過程Page7問題：如何隔離廣播域？廣播域1廣播域2VLAN10廣播域VLAN20廣播域RouterSwitch+VLANContents交換機(jī)原理HUB與Switch的區(qū)別VLAN＆VLANIF介紹ARP&GratuitousARP幾個(gè)常見問題解答VRRPPage9VLAN實(shí)例VLAN作用隔離廣播域增強(qiáng)保密性，提高網(wǎng)絡(luò)安全性組網(wǎng)靈活良好的擴(kuò)展性劃分VLAN原則：基于MAC地址基于端口基于協(xié)議基于IP地址基于組合策略ToInternet人力部網(wǎng)絡(luò)部營銷部Page10Trunk端口Access端口Hybrid：允許多個(gè)VLAN報(bào)文通過，也允許不帶VLAN的報(bào)文通過。收到不帶VLAN標(biāo)記報(bào)文默認(rèn)則認(rèn)為其屬于缺省VLAN（PVID）。VLAN的三種端口類型Page11TrunklinkAccesslinkFrameTagging的工作過程普通IP報(bào)文VLANTAGVID：VLANID，長度為12比特，表示該幀所屬的VLANPage12/80000-1a2b-0001/80000-1a2b-0002/80000-1a2b-0003/80000-1a2b-0005/80000-1a2b-0004/80000-1a2b-0007/80000-1a2b-0006VLAN之間的路由同一VLAN報(bào)文路徑不同VLAN間報(bào)文路徑Page13L3交換機(jī)介紹RouterL2SwitchVLAN10VLAN20三層交換機(jī)中的三層轉(zhuǎn)發(fā)引擎在各個(gè)VLAN之間轉(zhuǎn)發(fā)報(bào)文，而每個(gè)VLAN一般對應(yīng)一個(gè)網(wǎng)段，因此三層交換機(jī)的路由功能通常叫做VLAN間路由（Inter-VLANRouting）。在邏輯上三層交換和路由是等同的，三層交換的過程就是IP報(bào)文選路的過程。但在具體實(shí)現(xiàn)上，傳統(tǒng)路由器和傳統(tǒng)交換機(jī)是有區(qū)別的：傳統(tǒng)路由器通過微處理器上運(yùn)行的軟件實(shí)現(xiàn)查找和轉(zhuǎn)發(fā)三層交換機(jī)通過硬件實(shí)現(xiàn)查找和轉(zhuǎn)發(fā)，但轉(zhuǎn)發(fā)路由表與路由器一樣，需要軟件通過路由協(xié)議來建立和維護(hù)L3SwitchVLAN10VLAN20VLANIF10VLANIF20Page14三層交換技術(shù)傳統(tǒng)三層技術(shù)對每個(gè)報(bào)文進(jìn)行處理，并基于第三層地址轉(zhuǎn)發(fā)報(bào)文。這一方法稱為報(bào)文到報(bào)文。123123123123不在三層處理所有報(bào)文的的方法稱之為流交換。123123123123第一個(gè)報(bào)文后續(xù)報(bào)文Page15匹配算法最長匹配算法精確匹配算法網(wǎng)絡(luò)地址子網(wǎng)掩碼接口編號(hào)其他3...2...2...Intf1Intf2Intf3SIP:13DIP:8DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx-xx-xxSIP:13DIP:8DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx-xx-xx網(wǎng)絡(luò)地址路由接口端口號(hào)其他812...912...9933...Port1Port2Port3SIP:13DIP:8DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx-xx-xxSIP:13DIP:8DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx-xx-xxPage16RouterL3分類根據(jù)網(wǎng)絡(luò)應(yīng)用位置，一般分為骨干、高端、中端、接入系列路由器根據(jù)網(wǎng)絡(luò)應(yīng)用位置，一般分為高端、中端、接入系列L3應(yīng)用特點(diǎn)一般用于Internet或接入Internet或電信級(jí)數(shù)據(jù)網(wǎng)一般用于園區(qū)/企業(yè)組網(wǎng)性能骨干達(dá)到10Tbit轉(zhuǎn)發(fā)，接口最高40GE轉(zhuǎn)發(fā)，而且接近線速轉(zhuǎn)發(fā)骨干達(dá)到Tbit轉(zhuǎn)發(fā)，接口一般最高10GE轉(zhuǎn)發(fā)，一般不是線速轉(zhuǎn)發(fā)，一般不支持POS廣域口價(jià)格策略高昂高端應(yīng)用低廉，高端L3的端口可以是高端Router的1/3價(jià)格以下架構(gòu)芯片復(fù)雜，可處理百萬級(jí)路由硬轉(zhuǎn)發(fā)(查找)，可以支持百框以上的分布式查找，可靠性高，抗攻擊能力強(qiáng)。芯片一般復(fù)雜，僅支持萬級(jí)硬轉(zhuǎn)發(fā)(查找)，不能命中的路由需要上報(bào)查找，極端會(huì)導(dǎo)致Down機(jī)，可靠性不高，抗攻擊能力弱。業(yè)務(wù)為了支持靈活業(yè)務(wù)，芯片復(fù)雜業(yè)務(wù)較簡單，芯片簡單，但部分頂級(jí)L3可以接近替代路由器潛規(guī)則Cisco“壟斷”的高利潤市場，通過協(xié)議/業(yè)務(wù)/性能/可靠性等制造各種門檻數(shù)通小廠商的低價(jià)市場，正在不斷試圖打破Cisco的市場，蠶食中低端組網(wǎng)應(yīng)用。Router與L3的比較Page17正在規(guī)劃的RPU板DPU單板路由轉(zhuǎn)發(fā)二層交換（兼有交換和匯聚/分發(fā)功能）分發(fā)和內(nèi)外網(wǎng)隔離功能Router路由協(xié)議VRRPTrunkDPU核心網(wǎng)設(shè)備三層交換機(jī)Router三層交換機(jī)Router核心網(wǎng)設(shè)備單板三層交換機(jī)核心網(wǎng)設(shè)備VRRPContents交換機(jī)原理HUB與Switch的區(qū)別VLAN＆VLANIF介紹ARP&GratuitousARP幾個(gè)常見問題解答VRRPPage19ARP－地址解析協(xié)議不知道的MAC地址？IP:/24MAC:00-E0-FC-00-00-11IP:/24MAC:00-E0-FC-00-00-12ARPRequestARPReply僅有IP為的主機(jī)回響應(yīng)業(yè)務(wù)報(bào)文Page20GratuitousARP－免費(fèi)ARP源IP：源MAC：00-E0-FC-00-00-11目的IP：（同源IP）目的MAC：0G-ARPRequest?ARPReplyIP:/24MAC:00-E0-FC-00-00-11問題1、如果PC1沒有收到ARPReply意味著什么，如果收到了呢？2、網(wǎng)絡(luò)中其它主機(jī)收到免費(fèi)ARP報(bào)文，需要怎么處理？PC1PC2Page21免費(fèi)ARP報(bào)文應(yīng)用舉例L3-1L3-2SoftXIPBearerNetwork主鏈：IP1-1備鏈：IP1-1OSPF備注：CE/用戶邊緣設(shè)備；我司Soft產(chǎn)品的接口板IFM，為主備板保護(hù)，主備板配置相同的IP，不同的MAC。問： 如果軟交換發(fā)生單板倒換，Soft需要支持哪些功能，才能保證業(yè)務(wù)不受影響？Contents交換機(jī)原理HUB與Switch的區(qū)別VLAN＆VLANIF介紹ARP&GratuitousARP幾個(gè)常見問題解答VRRPPage23物理端口與路由接口的區(qū)別RouterL3SwitchVLAN10問題路由器、L3的物理端口與路由接口分別是什么關(guān)系？A：一對一B：一對多C：多對一物理端口1物理端口2路由接口1路由接口21234VLAN20路由接口2：VLANIF20路由接口1：VLANIF10物理端口1物理端口4Page24LSW之間多條級(jí)聯(lián)鏈路為什么要做捆綁？疑問：LSW之間從可靠性，以及增加帶寬的角度考慮，往往都會(huì)連接2條或者多條FE/GE鏈路，為什么必須要做鏈路捆綁？1423L1L2Port12341234…出現(xiàn)環(huán)路！Link1Link2Page2510M半雙工、100M全雙工、自適應(yīng)／手工的含義10M、100M、1000M：表示Ethernet端口的發(fā)送／接收頻率半雙工／全雙工：

全雙工：交換機(jī)能夠同時(shí)發(fā)送、接收數(shù)據(jù)，兩者同步進(jìn)行。全雙工的好處在于遲延小，速度快

半雙工：對于收和發(fā)，一個(gè)時(shí)間段內(nèi)只能有一個(gè)動(dòng)作發(fā)生，不能同時(shí)進(jìn)行收和發(fā)。

早期的對講機(jī)、集線器等設(shè)備都是半雙工。隨著技術(shù)的不斷進(jìn)步，半雙工會(huì)逐漸退出歷史舞臺(tái)。

（提示：如果在通信過程的任意時(shí)刻，信息只能由一方A傳到另一方B，則稱為單工。）自適應(yīng)：指一條Ethernet鏈路的兩端設(shè)備，通過自協(xié)商而非手工配置的方式確定彼此的工作模式。

對電口一般只協(xié)商10/100/1000M速率，及全雙工/半雙工模式

對光口除了協(xié)商速率和工作模式外，還會(huì)有其他協(xié)商項(xiàng)，如流控，遠(yuǎn)程錯(cuò)誤指示等

自適應(yīng)的優(yōu)點(diǎn)是工作的同時(shí)還能夠檢測單通等鏈路故障，缺點(diǎn)是可能協(xié)商結(jié)果不是最佳工作模式鏈路兩端的設(shè)備的工作模式（速率/雙工）必須一致，否則無法正常工作。

我司Soft與Router/L3自協(xié)商結(jié)果OK，一般推薦采用自協(xié)商模式

我司UMG接口存在BUG，無法與Router/L3自協(xié)商出100M全雙工，需要手工指定100M全雙式模式Page26加強(qiáng)：交換機(jī)報(bào)文處理步驟報(bào)文處理AccessTrunkHybrid收報(bào)文1、收到一個(gè)報(bào)文2、判斷是否有VLAN信息，如果沒有則轉(zhuǎn)到第3步，否則直接丟棄3、打上端口的PVID，并進(jìn)行交換轉(zhuǎn)發(fā)1、收到一個(gè)報(bào)文2、判斷是否有VLAN信息：如果沒有則打上端口的PVID3、判斷該端口是否允許該VLAN的數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)：如果可以則轉(zhuǎn)發(fā)，否則丟棄與Trunk相同發(fā)報(bào)文將報(bào)文的VLAN信息剝離，直接發(fā)送出去（在交換機(jī)內(nèi)部，轉(zhuǎn)發(fā)到該端口的VLAN報(bào)文，其VLANID必與該端口的PVID相同）1、比較端口的PVID和將要發(fā)送報(bào)文的VLAN信息2、如果兩者相等則轉(zhuǎn)到第3步，否則轉(zhuǎn)到第4步3、剝離VLAN信息，再發(fā)送4、直接發(fā)送1、判斷待轉(zhuǎn)發(fā)報(bào)文的VLANID在本端口的屬性（untag，tag）2、如果是untag則轉(zhuǎn)到第3步，如果是tag則轉(zhuǎn)到第4步3、剝離VLAN信息，再發(fā)送4、直接發(fā)送Contents交換機(jī)原理VRRP概念可靠性分析VRRP與思科HSRP有什么區(qū)別？VRRP不足及改進(jìn)思路探討Page28為什么需要VRRP？InternetIP11

GW:XIP22

GW:IP33

GW:IP44

GW:R1:R2:VirtualIP:R1:VRRPPage29VRRP概述1VRRP部分名詞介紹虛擬路由器號(hào)（VRID）

范圍1～255，由用戶配置。有相同VRID的一組路由器構(gòu)成一個(gè)虛擬路由器。虛擬IP地址（VirtualIPAddress）

一個(gè)虛擬路由器除擁有自己的接口地址外，還與同一VRID內(nèi)的其它路由器共享一個(gè)虛擬IP地址，一般局域網(wǎng)內(nèi)各主機(jī)以虛擬IP地址作為它們的缺省網(wǎng)關(guān)。如果虛擬IP地址接口與接口地址相同，則IP地址擁有者(IPaddressowner)。虛擬MAC地址（VirtualMACAddress）

一個(gè)虛擬路由器擁有一個(gè)虛擬MAC地址：00-00-5E-00-01-{VRID}。當(dāng)虛擬路由器回應(yīng)ARP請求時(shí)，回應(yīng)的是虛擬MAC地址，而不是接口的真實(shí)MAC地址。Virtualroutermaster（主用虛擬路由器） 一個(gè)VRID組內(nèi)只有優(yōu)先級(jí)最高的路由器才能成為主用虛擬路由器，只有主用路由器響應(yīng)目的地址為為虛擬IP／虛擬MAC的報(bào)文。IP地址擁有者則恒為主用路由器Virtualrouterbackup（備用虛擬路由器） 一個(gè)VRID組網(wǎng)除主用虛擬路由器之外的所有虛擬路由器都是備用虛擬路由器，可以有多臺(tái)，備用路由器不響應(yīng)目的地址為虛擬IP／虛擬MAC的報(bào)文，當(dāng)主用路由器故障的時(shí)候，剩余路由器中優(yōu)先級(jí)最高的升為主用。Page30VRRP概述2VRRP部分名詞介紹優(yōu)先級(jí)

同一VRID下如果有多臺(tái)路由器，則優(yōu)先級(jí)（1－255,數(shù)值越大優(yōu)先級(jí)越高）最高的成為主路由器，若優(yōu)先級(jí)相同，則主IP地址大的就成為主路由器。通告周期

當(dāng)主路由器正常工作時(shí)，它會(huì)每隔一段時(shí)間（Advertisement_Interval）發(fā)送一個(gè)VRRP組播報(bào)文，以通知組內(nèi)的備份路由器，主路由器處于正常工作狀態(tài)。當(dāng)組內(nèi)的備份路由器長時(shí)間（Mater_Down_Interval）沒有接收到來自主路由器的報(bào)文，則將自己轉(zhuǎn)為主路由器。監(jiān)視接口狀態(tài)

主用路由器設(shè)定了監(jiān)視上行接口時(shí)，如果主用路由器的上行接口DOWN掉時(shí)，其優(yōu)先級(jí)下降，導(dǎo)致備份組內(nèi)其它路由器的優(yōu)先級(jí)高于這個(gè)路由器的優(yōu)先級(jí)，這時(shí)剩余路由器中優(yōu)先級(jí)最高的路由器成為主用路由器。搶占模式（Preempt_Mode）

一旦備份組中的某臺(tái)路由器成為主路由器，只要它沒有出現(xiàn)故障，其它路由器即使隨后被配置更高的優(yōu)先級(jí)，也不會(huì)成為主路由器，除非被設(shè)置為搶占方式。Page31常見VRRP組網(wǎng)G9BearerNetworkL2-1R1R2L2-2MSoftXVRRPUMGG9BearerNetworkR1R2UMGMSoftXGE-TrunkVRRP需要路由器支持二層交換功能主推方案G9BearerNetworkL3-1L3-2MSoftXVRRPUMG次選方案Contents交換機(jī)原理VRRP概念可靠性分析VRRP與思科HSRP有什么區(qū)別？VRRP不足及改進(jìn)思路探討Page33主推方案1——可靠性分析MasterSlaveMSoftXGE-TrunkSignalVRRP互聯(lián)TRUNK正常，VLANIF正常，VRRP不倒換MSX檢測到故障后主備倒換，發(fā)送免費(fèi)ARP更新數(shù)通設(shè)備ARP表流量從Slave通過備用鏈路轉(zhuǎn)發(fā)給Master正常情況下流向Page34主推方案1——可靠性分析MasterSlaveMSoftXGE-TrunkSignalVRRPMaster監(jiān)控到上行故障，降低優(yōu)先級(jí)，VRRP倒換,且路由收斂VRRP倒換后發(fā)送ARP更新流量走二層或三層轉(zhuǎn)發(fā)（視VRRP倒換與路由收斂速度而定）MSX檢測不到故障(鏈路正常，網(wǎng)關(guān)可達(dá))，不倒換Page35主推方案1——可靠性分析MasterSlaveMSoftXGE-TrunkSignalVRRP3個(gè)周期檢測不到心跳包，發(fā)生倒換倒換后發(fā)送ARP更新MSX檢測到故障，主備倒換，發(fā)送免費(fèi)ARP更新數(shù)通設(shè)備ARP表Page36主推方案1——可靠性分析MasterSlaveMSoftXGE-TrunkSignalVRRP檢測不到心跳包，升為主用，出現(xiàn)雙主Master路由器得不到ARP響應(yīng)，把接收的流量丟棄！VRRP組網(wǎng)路由器之間的互聯(lián)鏈路非常重要！MSX備板不響應(yīng)Router的ARP請求路由器發(fā)起目的地址為MSXIP的ARP請求MSX檢測不到故障，不倒換Contents交換機(jī)原理VRRP概念可靠性分析VRRP與思科HSRP有什么區(qū)別？VRRP不足及改進(jìn)思路探討Page38VRRP與思科HSRP有什么區(qū)別？HSRP是cisco私有的，只適用于cisco設(shè)備。VRRP符合internet標(biāo)準(zhǔn)（RFC2338），事實(shí)上VRRP協(xié)議就是在HSRP的基礎(chǔ)上制定出來的，但是對HSRP進(jìn)行了簡化和增強(qiáng)。VRRP的狀態(tài)機(jī)比HSRP的要簡單,HSRP有6個(gè)狀態(tài)(初始(Initial)狀態(tài)，學(xué)習(xí)(Learn)狀態(tài)，監(jiān)聽(Listen)狀態(tài)，對話(Speak)狀態(tài)，備份(Standby)狀態(tài)，活動(dòng)(Active)狀態(tài))和8個(gè)事件,

VRRP只有3個(gè)狀態(tài)(初始狀態(tài)(Initialize)、主狀態(tài)(Master)、備份狀態(tài)(Backup))和5個(gè)事件.HSRP有三種報(bào)文，而且有三種狀態(tài)可以發(fā)送報(bào)文呼叫(Hello)報(bào)文告辭(Resign)報(bào)文突變(Coup)報(bào)文。VRRP只有一種廣播報(bào)文:由主路由器定時(shí)發(fā)出來通告它的存在，使用這些報(bào)文可以檢測虛擬路由器各種參數(shù)，還可以用于主路由器的選舉。HSRP將報(bào)文承載在UDP報(bào)文上，而VRRP承載在TCP報(bào)文上(HSRP使用UDP1985端口，向組播地址

發(fā)送hello消息。)VRRP支持將真實(shí)接口IP地址設(shè)置為虛擬IP地址，HSRP不支持VRRP的通告周期以秒為單位，最小1秒。崩潰間隔時(shí)間:3*通告周期+時(shí)滯時(shí)間(skew-time)。